Politika kontinuity podnikania a obnovy po havárii

Politika kontinuity podnikania a obnovy po havárii stanovuje povinné kontrolné opatrenia, procesy a zodpovednosti na udržanie alebo obnovu kritických obchodných prevádzkových činností a ICT služieb organizácie počas a po narušujúcich incidentoch. Poskytuje štruktúrovaný rámec na ochranu života, zabezpečenie prevádzkovej stability, dodržiavanie zákonných a zákazníckych záväzkov a ochranu reputácie organizácie tým, že zakotvuje odolnosť prostredníctvom proaktívneho plánovania a validovaných schopností obnovy. Táto politika sa vzťahuje na všetky organizačné jednotky, informačné systémy, obchodné procesy, personál a služby tretích strán, ktoré sú považované za kritické alebo nevyhnutné na základe výsledkov Business Impact Analysis (BIA). Rozsah je komplexný a pokrýva prírodné aj človekom spôsobené narušenia, ako sú kybernetické útoky, zlyhania infraštruktúry, výpadky dátových centier, pandémie a prerušenia služieb dodávateľov. Stanovuje základné očakávania pre plánovanie, priebežné testovanie a neustále zlepšovanie plánov kontinuity podnikania (BCP) a plánov obnovy po havárii (DRP) a zabezpečuje plnenie povinností voči regulačným, zmluvným a odvetvovým normám. Kľúčové ciele politiky zahŕňajú zaručenie kontinuity prevádzky podniku prostredníctvom vopred definovaných a otestovaných postupov, minimalizáciu potenciálnych prevádzkových, reputačných a právnych dopadov a zabezpečenie včasnej obnovy v rámci definovaných cieľov času a bodu obnovy (RTO a RPO). Priraďuje jasnú zodpovednosť naprieč podnikom: výkonný manažment, vedúci kontinuity podnikania a IT obnovy po havárii, vedúci oddelení, riaditeľ informačnej bezpečnosti a tím reakcie na krízu majú definované roly pre stratégiu, plánovanie, realizáciu a komunikáciu. Politika ukladá povinnosť zaviesť jednotný systém riadenia kontinuity podnikania (BCMS) v súlade s požiadavkami ISO 22301 a ISO/IEC 27001. Vyžaduje ročné BIA pre všetky kritické jednotky, vypracovanie a schválenie BCP/DRP a udržiavanie presnej dokumentácie, eskalačných tokov a kontaktných zoznamov. Plány musia zahŕňať manuálne obchádzky, aktiváciu alternatívneho pracoviska, krízovú komunikáciu a stratégie kontinuity dodávateľského reťazca. Pravidelné testovanie vrátane ročných posúdení odolnosti, stolových cvičení a simulovaných failoverov je povinné na preskúmanie účinnosti, závislostí a stavu pripravenosti. Politika sa venuje aj integrácii plánovania kontinuity s bezpečnosťou a reakciou na incidenty, pričom zabezpečuje, aby počas obnovy nedošlo ku kompromitácii kontrol informačnej bezpečnosti. Definuje sa riadenie výnimiek, hodnotenie rizika a eskalačné protokoly, pričom monitorovanie súladu a disciplinárne opatrenia pri nesúlade zabezpečujú vynucovanie politiky. Táto politika je striktne zosúladená s poprednými globálnymi normami a regulačnými rámcami a podporuje due diligence v prevádzkovej odolnosti a auditovateľnosti pre zákonné alebo zmluvné povinnosti.